Passwort zurücksetzen

Logto bietet eine umfassende Funktion zum Zurücksetzen des Passworts, mit der Benutzer sicher wieder Zugriff auf ihre Konten erhalten können, wenn sie ihr Passwort vergessen haben oder es ändern möchten. Diese Funktion unterstützt mehrere Verifizierungsmethoden, darunter E-Mail und SMS, sodass Benutzer über ihren bevorzugten Kommunikationskanal wieder Zugriff erhalten können.

Passwort vergessen zur Kontowiederherstellung

Konfiguration

So aktivierst du die Funktion „Passwort vergessen“:

Connectors konfigurieren: Richte E-Mail oder SMS Connectors in Konsole > Connectors > E-Mail- und SMS-Connectors ein.
Kontaktinformationen der Benutzer erfassen: Stelle sicher, dass Benutzer während der Registrierung oder über die Kontoeinstellungen eine E-Mail / Telefonnummer hinterlegt haben.
Verifizierungsmethoden aktivieren:
- Gehe zu Konsole > Anmeldung & Konto > Registrierung und Anmeldung
- Aktiviere Passwort als Anmeldemethode
- Füge E-Mail-Bestätigungscode und/oder Telefon-Bestätigungscode für Passwort vergessen hinzu
Speichern und testen: Änderungen speichern und mit der Live-Vorschau testen

Benutzererlebnis-Ablauf

Sobald die Funktion zum Zurücksetzen des Passworts aktiviert ist, wird unter dem Anmeldeformular ein „Passwort vergessen“-Link angezeigt. Benutzer können auf den Link „Passwort vergessen“ klicken, um den Prozess zum Zurücksetzen des Passworts zu starten.

Anmeldeseite besuchen: Der Benutzer besucht die Anmeldeseite.
Auf Passwort vergessen-Link klicken: Der Benutzer klickt auf den Link „Passwort vergessen“.
E-Mail / Telefonnummer eingeben: Nach dem Klick auf den Link „Passwort vergessen“ wird der Benutzer auf eine neue Seite weitergeleitet, auf der er seine registrierte E-Mail-Adresse oder Telefonnummer eingeben kann.
Bestätigungscode senden: Logto sendet einen Bestätigungscode an die angegebene E-Mail-Adresse oder Telefonnummer des Benutzers und leitet zur Code-Bestätigungsseite weiter.
Bestätigungscode eingeben: Der Benutzer gibt den erhaltenen Bestätigungscode aus seiner E-Mail oder seinem Telefon ein. Logto überprüft den Code und die Identität des Benutzers, die mit der E-Mail-Adresse oder Telefonnummer verknüpft ist.
Neues Passwort eingeben: Der Benutzer wird aufgefordert, ein neues Passwort einzugeben, sobald der Bestätigungscode erfolgreich verifiziert wurde.
Erfolgreiches Zurücksetzen des Passworts: Wenn das angegebene Passwort die Passwort-Richtlinien erfüllt, wird das Passwort erfolgreich aktualisiert.
Weiterleitung zur Anmeldeseite: Der Benutzer wird zur Anmeldeseite weitergeleitet, um sich mit dem neuen Passwort anzumelden.

Authentifizierte Benutzer können ihr Passwort über die Kontoeinstellungen in deiner App ändern (oder erstmals festlegen). Siehe Kontoeinstellungen, um dies mit der Account API umzusetzen.

Prüfen, ob ein Benutzer ein Passwort hat

Benutzerdaten enthalten ein boolesches Feld hasPassword, das angibt, ob der Benutzer derzeit ein Passwort-Credential gespeichert hat.

Du kannst hasPassword erhalten durch:

Management API: z. B. GET /api/users/:id (im Benutzerobjekt enthalten)
Benutzerdefinierte Token-Ansprüche: Injektion von hasPassword in ID- / Zugangstokens (damit dein Frontend die UI ohne zusätzlichen API-Call verzweigen kann)

Rufe dann den Account API-Endpunkt auf, um das Passwort zu setzen oder zu aktualisieren (siehe Kontoeinstellungen-Guide für Details zur Anfrage). Für Benutzer, die noch nie ein Passwort hatten, brauchst du das alte Passwortfeld NICHT (und solltest es nicht verlangen).

tipp:

Auch wenn deine Registrierungs-Methoden „Passwort festlegen“ für E-Mail / Telefon / Benutzername verlangen, überspringen Benutzer, die ausschließlich über soziale Anmeldung erstellt wurden, standardmäßig die Passwort-Erstellung, um Reibung zu vermeiden. Diese Benutzer haben hasPassword = false, bis sie später explizit eines festlegen. Vermeide es, direkt nach der sozialen Anmeldung ein sofortiges Passwort-Setup zu erzwingen, es sei denn, dein Sicherheitsmodell erfordert es – verzögerte, kontextabhängige Hinweise führen meist zu besseren Konvertierungen.

Benutzerdefinierte Passwort-Richtlinie

Passe Passwortlänge, Zeichenvorgaben und Wortbeschränkungen an die Sicherheitsanforderungen deines Unternehmens an und biete gleichzeitig ein gutes Benutzererlebnis. Diese Einstellungen kannst du im Bereich Sicherheit > Passwort-Richtlinie konfigurieren. Siehe die Passwort-Richtlinie Dokumentation für weitere Informationen.

FAQs

Wie melde ich einen Benutzer nach erfolgreichem Zurücksetzen des Passworts ab?

Abonniere das PostResetPassword Webhook-Ereignis, um eine Benachrichtigung zu erhalten, wenn ein Benutzer sein Passwort erfolgreich zurückgesetzt hat. Du kannst dann eine Abmeldung auslösen, um die aktuelle Sitzung des Benutzers ungültig zu machen und ihn zur Anmeldeseite weiterzuleiten.

Wie implementiere ich den Passwort-zurücksetzen-Ablauf in meinem eigenen UI?

Du kannst deinen eigenen Ablauf zum Zurücksetzen des Passworts mit der Management API und Account API von Logto implementieren. Siehe Kontoeinstellungen für weitere Details.

Wie kann ich einen Link zum Zurücksetzen des Passworts an die E-Mail des Benutzers senden?

Du kannst einen selbst gehosteten Endpunkt zum Zurücksetzen des Passworts erstellen und das Logto SDK verwenden, um eine Anmeldeanfrage mit first_screen auf reset-password zu initiieren. Dadurch wird der Benutzer nahtlos zur Seite zum Zurücksetzen des Passworts weitergeleitet.

Passwort vergessen zur Kontowiederherstellung​

Konfiguration​

Benutzererlebnis-Ablauf​

Passwort nach Anmeldung aktualisieren​

Prüfen, ob ein Benutzer ein Passwort hat​

Benutzerdefinierte Passwort-Richtlinie​

FAQs​

Wie melde ich einen Benutzer nach erfolgreichem Zurücksetzen des Passworts ab?​

Wie implementiere ich den Passwort-zurücksetzen-Ablauf in meinem eigenen UI?​

Wie kann ich einen Link zum Zurücksetzen des Passworts an die E-Mail des Benutzers senden?​